L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de IP Filter

annonce de vulnérabilité informatique CVE-2017-1081

IP Filter : utilisation de mémoire libérée via IP Fragment

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via un fragment IP envoyé vers IP Filter, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : FreeBSD, IP Filter, NetBSD, OpenBSD.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 27/04/2017.
Références : CVE-2017-1081, FreeBSD-SA-17:04.ipfilter, VIGILANCE-VUL-22577.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via un fragment IP envoyé vers IP Filter, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2009-1476

IP Filter : buffer overflow de ippool

Synthèse de la vulnérabilité

Lorsque la commande ippool d'IP Filter est utilisée, un attaquant peut faire exécuter du code sur la machine.
Produits concernés : IP Filter, NetBSD.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : serveur internet.
Date création : 25/05/2009.
Références : BID-35076, CVE-2009-1476, VIGILANCE-VUL-8735.

Description de la vulnérabilité

La commande ippool d'IP Filter utilise un fichier de configuration contenant des listes d'adresses IP. Ce fichier de configuration peut être téléchargé depuis un serveur web distant.

La fonction load_http() du fichier lib/load_http.c télécharge le fichier de configuration situé sur un serveur distant. Pour cela, il crée une requête HTTP de la forme :
  GET http://le_serveur/le_fichier HTTP/1.0
  Host: le_serveur
La taille de "http://le_serveur/le_fichier" ne peut pas dépasser 512 octets.

Si la taille de "le_serveur" vaut 504 octets, la taille de la requête HTTP précédente est de 1041 octets. Cependant, le buffer contenant cette requête a une taille de 1024 octets. Un débordement se produit alors.

Lorsque l'attaquant peut forcer la commande ippool à employer une url trop longue, il peut donc faire exécuter du code sur la machine.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 2891

Disponibilité d'IP Filter 3.4.29

Synthèse de la vulnérabilité

Ce bulletin annonce la disponibilité d'IP Filter 3.4.29.
Produits concernés : IP Filter, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : serveur internet.
Date création : 29/08/2002.
Références : V6-UNIXIPFILTER3429, VIGILANCE-VUL-2891.

Description de la vulnérabilité

Le logiciel IP Filter permet de transformer une machine en firewall. Pour chaque interface de la machine, l'utilisateur peut spécifier des règles de filtrage de paquets TCP/UDP/ICMP/IP/etc.

La version 3.4.29 d'IP Filter est disponible, et plusieurs correctifs ont été apportés, dont certains pourraient avoir un impact sur la sécurité:
 - problème de sécurité du proxy FTP
 - fuite mémoire

Les détails techniques concernant ces failles ou la manière de les exploiter ne sont pas actuellement connus.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2002-0514 CVE-2002-0515

Détection de la présence d'un firewall noyau

Synthèse de la vulnérabilité

En observant le TTL des paquets RST, un attaquant distant peut deviner le type de firewall installé.
Produits concernés : FW-1, IP Filter, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 02/04/2002.
Date révision : 04/04/2002.
Références : BID-4401, BID-4403, CVE-2002-0514, CVE-2002-0515, V6-UNIXPACKETFILTERDETECT, VIGILANCE-VUL-2427.

Description de la vulnérabilité

Les programmes packetfilter (pf) ou ipfilter (ipf) sont des firewall qui s'installent sur un système afin de le protéger.

Le handshake d'une session TCP sur un port ouvert se déroule ainsi :
 - le client envoie un paquet avec le bit SYN actif
 - le serveur retourne un paquet SYN ACK
 - le client retourne un ACK

Le handshake d'une session TCP sur un port fermé se déroule ainsi :
 - le client envoie un paquet avec le bit SYN actif
 - le serveur retourne un paquet RST

Lorsque le firewall local est actif, et que le flux correspond à un flux bloqué, le paquet RST est retourné par le firewall. Sinon, le système d'exploitation est en charge de retourner le paquet RST.

Cependant, dans ces deux cas, la valeur du champ TTL (Time To Live) est différente. Par exemple :
 - OpenBSD :
     + TTL du système : 64
     + TTL de Packet Filter : 128
 - Solaris :
     + TTL du système : dépend du paquet reçu
     + TTL d'IP Filter : 60
     + TTL de Firewall-1 : 55
 - Linux :
     + TTL du système : 127
     + TTL d'IP Filter : 255

En observant le contenu de paquets RST, un attaquant distant peut donc :
 - déterminer le type du système
 - déterminer le type du firewall
 - déterminer la politique de filtrage (des ports fermés uniquement)

Cette vulnérabilité peut donc permettre à un attaquant de recueillir des informations dans le but de préparer une intrusion.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2001-0402

Contournement de IPFilter par paquets fragmentés

Synthèse de la vulnérabilité

Dans certaines conditions, il est possible de faire passer tous types de paquets à travers un firewall sous IPFilter.
Produits concernés : FreeBSD, HP-UX, IP Filter, NetBSD.
Gravité : 3/4.
Conséquences : déni de service du client.
Provenance : serveur internet.
Date création : 09/04/2001.
Dates révisions : 10/04/2001, 11/04/2001, 17/04/2001, 23/04/2001, 31/05/2001, 25/01/2002.
Références : BID-2545, CERTA-2002-AVI-021, CIAC L-075, CVE-2001-0402, FreeBSD-SA-01:32, HP181, L-75, NetBSD 2001-007, NetBSD-SA2001-007, V6-UNIXIPFILTERFRAGCACHE, VIGILANCE-VUL-1500.

Description de la vulnérabilité

IPFilter est un logiciel qui permet de transformer une machine en firewall. Des versions sont disponibles pour *BSD, ainsi que pour Linux (noyaux inférieurs à 2.2.0). Pour chaque interface d'une machine, l'utilisateur peut spécifier des règles de filtrage de paquets TCP/UDP/ICMP/IP etc.

Une vulnérabilité dans le code en charge du traitement des paquets fragmentés a été détectée dans toutes les versions inférieures à 3.4.17 de IPFilter. Elle permet à un attaquant qui a accès à un port quelconque (TCP ou UDP) sur une machine protégée par un firewall IPFilter, d'accéder à l'ensemble des ports de la même machine.

Lors de la réception d'un paquet fragmenté, IPFilter vérifie les règles de filtrage pour prendre la décision de passer ou de bloquer celui-ci. Cette décision est ensuite stockée dans un "cache de décision" avec le numéro de fragment, le numéro de protocole, l'adresse source et l'adresse destination du fragment.
A la réception d'un nouveau fragment, on vérifie en premier le "cache de décision". Si une entrée correspondante est trouvée (même numéro de protocole, même adresse source et même adresse destination), la décision placée en cache est appliquée au fragment reçu. Sinon, on vérifie les règles de filtrage.

Pour chaque paquet TCP qu'il veut envoyer vers le port de son choix (appelé X), un attaquant doit forger un deuxième paquet TCP identique (même en-tête IP, même en-tête TCP, même contenu de paquet ) modifié avec un port destination autorisé (appelé Y).
Remarque: bien que la vulnérabilité porte sur le traitement des paquets fragmentés, la faille peut être exploitée même si une règle de filtrage bloque ce type de paquets.

Il est alors possible de faire passer tous types de données vers tous les ports d'une machine protégée par un firewall sous Ipfilter si on accès légitime à un seul port (par exemple port 80 pour HTTP, ou port 25 pour SMTP etc).
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 1997

Déni de service d'ipfilter à cause de l'option fastroute

Synthèse de la vulnérabilité

En réalisant un traceroute vers un firewall ayant l'option fastroute active, un attaquant peut mener un déni de service sur celui-ci.
Produits concernés : IP Filter.
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : serveur internet.
Date création : 09/11/2001.
Références : V6-UNIXIPFILTERTRACERTCRASH, VIGILANCE-VUL-1997.

Description de la vulnérabilité

Le logiciel IPFilter permet de transformer une machine en firewall. Pour chaque interface de la machine, l'utilisateur peut spécifier des règles de filtrage de paquets TCP/UDP/ICMP/IP/etc.

L'outil traceroute permet d'établir le chemin empruntés par des paquets. Pour cela, lorsque le mode UDP est employé, traceroute envoie des paquets dont :
 - le TTL est incrémenté (sa valeur maximale est 255)
 - le port destination est incrémenté à partir de 33434

Les règles de base permettent de bloquer (block) ou d'autoriser (pass) des flux entrant d'une interface vers une autre.
L'option "fastroute" permet de ne pas passer un paquet reçu à la pile IP du système et celui-ci est alors envoyé sur l'interface de sortie par ipfilter lui-même empéchant ainsi une diminution du TTL. La durée de vie de ce paquet ne sera ainsi pas diminuée lors du passage dans le firewall.

Lorsqu'une des règles d'IPFilter emploie :
 - l'option fastroute, et
 - autorise les flux UDP de type traceroute,
alors, la réception d'un paquet traceroute stoppe le firewall. Actuellement, la cause de cette vulnérabilité semble être liée à l'option fastroute.

Par le biais de cette vulnérabilité, un attaquant distant peut, en réalisant un traceroute sur le firewall, provoquer son arrêt dans le but de mener un déni de service de celui-ci.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur IP Filter :